Click here to load reader

업데이트 1 VMware vSphere 6.5 VMware ESXi 6.5 vCenter Server 6 · PDF file 2017-08-03 · ESXi 인증서 관리 vSphere 6.0 이상에서 VMCA(VMware Certificate Authority)는 기본적으로

  • View
    21

  • Download
    0

Embed Size (px)

Text of 업데이트 1 VMware vSphere 6.5 VMware ESXi 6.5 vCenter Server 6 · PDF file...

  • vSphere 보안 업데이트 1

    VMware vSphere 6.5 VMware ESXi 6.5

    vCenter Server 6.5

  • vSphere 보안

    2 VMware, Inc.

    VMware 웹 사이트 (https://docs.vmware.com/kr/) 에서 최신 기술 문서를 확인할 수 있습니다.

    또한 VMware 웹 사이트에서 최신 제품 업데이트를 제공합니다.

    이 문서에 대한 의견이 있으면 [email protected]으로 사용자 의견을 보내주십시오.

    Copyright © 2009–2017 VMware, Inc. 판권 소유. 저작권 및 상표 정보.

    VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com

    https://docs.vmware.com/kr/ mailto:[email protected] http://pubs.vmware.com/copyright-trademark.html

  • 목차

    vSphere 보안 정보 7

    1 vSphere 환경의 보안 9

    ESXi 하이퍼바이저 보안 9

    vCenter Server 시스템 및 관련 서비스 보안 11

    가상 시스템 보안 12

    가상 네트워킹 계층 보호 13

    vSphere 환경의 암호 14

    보안 모범 사례 및 리소스 15

    2 vSphere 사용 권한 및 사용자 관리 작업 17

    vSphere의 권한 부여 이해 18

    vCenter 구성 요소에 대한 사용 권한 관리 24

    글로벌 사용 권한 27

    역할을 사용하여 권한 할당 29

    역할 및 권한에 대한 모범 사례 32

    일반 작업에 필요한 권한 33

    3 ESXi 호스트 보안 37

    호스트 프로파일을 사용하여 ESXi 호스트 구성 37

    일반 ESXi 보안 권장 사항 38

    ESXi 호스트에 대한 인증서 관리 47

    보안 프로파일을 사용하여 호스트 사용자 지정 60

    ESXi 호스트에 대한 권한 할당 73

    Active Directory를 통해 ESXi 사용자 관리 75

    vSphere Authentication Proxy 사용 77

    ESXi에 대한 스마트 카드 인증 구성 84

    ESXi Shell 사용 85

    ESXi 호스트를 위한 UEFI 보안 부팅 90

    ESXi 로그 파일 92

    4 vCenter Server 시스템 보안 95

    vCenter Server 보안 모범 사례 95

    기존 ESXi 호스트 지문 확인 100

    NFC(Network File Copy)를 통한 SSL 인증서 유효성 검사 사용 확인 101

    vCenter Server 및 Platform Services Controller 의 필수 포트 101

    추가 vCenter Server TCP 및 UDP 포트 107

    5 가상 시스템 보안 111

    가상 시스템에 대해 UEFI 보안 부팅 사용 또는 사용 안 함 111

    가상 시스템에서 VMX 파일로의 정보 메시지 제한 112

    VMware, Inc. 3

  • 가상 디스크 축소 방지 113

    가상 시스템 보안 모범 사례 113

    6 가상 시스템 암호화 123

    vSphere 가상 시스템 암호화 를 통해 환경을 보호하는 방법 123

    vSphere 가상 시스템 암호화 구성 요소 126

    암호화 프로세스 흐름 127

    가상 디스크 암호화 128

    암호화 작업의 사전 요구 사항 및 필요한 권한 129

    vSphere vMotion 암호화 130

    암호화 모범 사례, 주의 사항 및 상호 운용성 130

    7 vSphere 환경에서 암호화 사용 137

    키 관리 서버 클러스터 설정 137

    암호화 스토리지 정책 생성 143

    호스트 암호화 모드를 사용하도록 명시적으로 설정 144

    호스트 암호화 모드 사용 안 함 144

    암호화된 가상 시스템 생성 144

    암호화된 가상 시스템 복제 145

    기존 가상 시스템 또는 가상 디스크 암호화 146

    암호화된 가상 시스템 또는 가상 디스크 암호 해독 147

    가상 디스크에 대한 암호화 정책 변경 147

    없는 키 문제 해결 148

    vSphere 가상 시스템 암호화 및 코어 덤프 149

    8 vSphere 네트워킹 보호 153

    vSphere 네트워크 보안 소개 153

    방화벽으로 네트워크 보호 154

    물리적 스위치 보호 157

    보안 정책으로 표준 스위치 포트 보호 157

    vSphere 표준 스위치 보안 158

    표준 스위치 보호 및 VLAN 159

    vSphere Distributed Switch 및 분산 포트 그룹 보안 161

    VLAN으로 가상 시스템 보호 161

    단일 ESXi 호스트 내에 여러 네트워크 생성 164

    인터넷 프로토콜 보안 166

    적절한 SNMP 구성 확인 169

    vSphere 네트워킹 보안 모범 사례 169

    9 여러 vSphere 구성 요소와 관련된 모범 사례 175

    vSphere 네트워크에서 클럭 동기화 175

    스토리지 보안 모범 사례 178

    게스트로 호스트 성능 데이터 보내기가 사용하지 않도록 설정되었는지 확인 181

    ESXi Shell 및 vSphere Web Client 에 대한 시간 제한 설정 181

    10 TLS 구성 유틸리티를 사용하여 TLS 프로토콜 구성 관리 183

    TLS 버전을 사용하지 않도록 설정 가능한 포트 183

    vSphere에서 TLS 버전을 사용하지 않도록 설정 185

    vSphere 보안

    4 VMware, Inc.

  • TLS 구성 유틸리티 설치 185

    선택적 수동 백업 수행 186

    vCenter Server 시스템에서 TLS 버전을 사용하지 않도록 설정 187

    ESXi 호스트에서 TLS 버전을 사용하지 않도록 설정 188

    Platform Services Controller 시스템에서 TLS 버전을 사용하지 않도록 설정 189

    TLS 구성 변경 내용 되돌리기 190

    vSphere Update Manager에서 TLS 버전을 사용하지 않도록 설정 191

    11 정의된 권한 195

    경보 권한 196

    Auto Deploy 및 이미지 프로파일 권한 197

    인증서 권한 198

    컨텐츠 라이브러리 권한 198

    암호화 작업 권한 200

    데이터 센터 권한 201

    데이터스토어 권한 202

    데이터스토어 클러스터 권한 202

    Distributed Switch 권한 203

    ESX Agent Manager 권한 203

    확장 권한 204

    폴더 권한 204

    글로벌 권한 204

    호스트 CIM 권한 205

    호스트 구성 권한 205

    호스트 인벤토리 206

    호스트 로컬 작업 권한 207

    호스트 vSphere 복제 권한 208

    호스트 프로파일 권한 208

    네트워크 권한 208

    성능 권한 209

    사용 권한에 대한 권한 209

    프로파일 기반 스토리지 권한 209

    리소스 권한 210

    스케줄링된 작업 권한 210

    세션 권한 211

    스토리지 보기 권한 211

    작업 권한 211

    전송 서비스 권한 212

    가상 시스템 구성 권한 212

    가상 시스템 게스트 작업 권한 213

    가상 시스템 상호 작용 권한 214

    가상 시스템 인벤토리 권한 220

    가상 시스템 프로비저닝 권한 221

    가상 시스템 서비스 구성 권한 222

    가상 시스템 스냅샷 관리 권한 222

    가상 시스템 vSphere 복제 권한 223

    dvPort 그룹 권한 223

    vApp 권한 223

    vServices 권한 224

    목차

    VMware, Inc. 5

  • vSphere 태그 지정 권한 225

    색인 227

    vSphere 보안

    6 VMware, Inc.

  • vSphere 보안 정보

    vSphere 보안에서는 VMware® vCenter® Server 및 VMware ESXi에 대한 vSphere® 환경 보호 에 대한 정보를 제공합니다.

    vSphere 환경을 보호할 수 있도록 이 설명서에서는 사용 가능한 보안 기능과 공격으로부터 환경을 보호 하기 위해 취할 수 있는 조치에 대해 설명합니다.

    관련 설명서 함께 제공되는 문서인 Platform Services Controller 관리에는 Platform Services Controller 서 비스를 사용하여 vCenter Single Sign-On을 사용한 인증 관리 및 vSphere 환경의 인증서 관리와 같은 작업을 수행할 수 있는 방법이 설명되어 있습니다.

    VMware는 이러한 문서 외에도 http://www.vmware.com/security/hardening-guides.html에 서 액세스할 수 있는 각 vSphere 릴리스에 대한 강화 가이드를 게시합니다. 강화 가이드는 다양한 잠재 적 보안 문제에 대한 항목이 포함된 스프레드시트입니다. 여기에는 3개의 각기 다른 위험 프로파일에 대 한 항목이 포함됩니다. 이 vSphere 보안 문서에는 위험 프로파일 1(극비 정부 기관과 같은 보안 수준이 가장 높은 환경)에 대한 정보가 포함되어 있지 않습니다.

    대상 사용자 이 정보는 가상 시스템 기술과 데이터 센터 작업에 익숙한 숙련된 Windows 또는 Linux 시스템 관리자 를 위해 작성되었습니다.

    vSphere Web Client 및 vSphere Client (HTML 5 Client) 이 가이드에 나와 있는 작업 지침은 vSphere Web Client를 기반으로 합니다. 새 vSphere Client에 서도 이 가이드에 나와 있는 대부분의 작업을 수행할 수 있습니다. 새 vSphere Client 사용자 인터페이 스의 용어, 토폴로지 및 워크플로는 vSphere Web Client 사용자 인터페이스의 동일한 측면 및 요소와 비슷합니다. 별도의 지시 사항이 없는 한 vSphere Web Client 지침을 새 vSphere Client에 적용할 수 있습니다.

    참고 vSphere Web Client의 기능 일부는 vSphere 6.5 릴리스의 vSphere Client에 구현되지 않 았습니다. 지원되지 않는 기능의 최신 목록을 보려면 vSphere Client의 기능 업데이트 가이드 (http://www.vmware.com/info?id=1413)를 참조하십시오.

    VMware, Inc. 7

    http://www.vmware.com/security/hardening-guides.html http://www.vmware.com/info?id=